Вразливість Stage Fright досі не виправлена

Наприкінці минулого місяця стало відомо, що близько мільярда смартфонів під управлінням операційної системи Android схильні до вразливості під назвою Stagefright, яка дозволяє зламати пристрій за допомогою MMS-повідомлення, до якого кріпиться мультимедійний файл з шкідливим кодом. В залежності від моделі смартфона зловмисники отримують доступ до мікрофона, камери зовнішнього накопичувача даних і навіть права суперкористувача. Google і ряд великих виробників негайно відреагували на цю проблему, заявивши, що вони вже випустили виправлення, а також мають намір щомісяця оновлювати систему безпеки для своїх пристроїв. Тим не менш, помилка так і не була виправлена.

Компанія Exodus, що спеціалізується на безпеці, заявила, що оновлення від Google дає користувачам помилкове відчуття безпеки. Фахівці цієї фірми без проблем змогли обійти захист Google, використавши вразливість Stagefright.

«Громадськість в цілому вважає, що нинішній патч захищає їх, тоді як насправді це не так», — повідомляється у блозі компанії Exodus.

При цьому представники Google запевняють, що їх виправлення закрило вразливість Stagefright у більш ніж 90% пристроїв лінійки Nexus. За їх словами, Android-користувачі захищені функцією безпеки під назвою ASLR (address space layout randomization), яка істотно ускладнює життя хакерам.

«Патч включає тільки 4 рядка коду, які, імовірно, були розглянуті інженерами Google перед відправкою. Якщо Google не може продемонструвати здатність успішного виправлення уразливості на пристроях власних клієнтів, то на що залишається сподівається іншим?», — кажуть представники Exodus.

Цікаво, що в Exodus впевнені, що в Google знали про цю уразливість протягом більше 120 днів, але не виправляли її. Найвірогідніше, що проблема більш серйозна, ніж очікувалося, і компанії потрібно більше часу, щоб виправити її.